Bleibt zu hoffen, dass die öffentliche Diskussion zu diesem wichtigen Thema wieder Fahrt aufnimmt; von den Folgen der Gesetzesänderungen sind schließlich Millionen Arbeitnehmer (und ihre Arbeitgeber) betroffen.

Über das Für und Wider von Selbstverpflichtungen ist in den letzten Monaten heftig gestritten worden; die Gräben verlaufen beispielsweise quer durch das Bundeskabinett. Umso bemerkenswerter fand ich die folgende Meldung ausgerechnet aus den USA, bisher in Datenschutzfragen eher als “Mutterland der Selbstregulierung” bekannt:

Mitarbeiter von US-Präsident Barack Obama entwickeln derzeit eine Strategie, um den Datenschutz im Internet künftig besser durchzusetzen zu können, berichtet das Wall Street Journal (WSJ) unter Berufung auf Regierungskreise. [...]
Einen klaren Abriss der neuen Strategie gibt es bislang offenbar noch nicht. In ersten Überlegungen habe die Obama-Regierung aber angemerkt, dass die Bemühungen zur Selbstkontrolle der Internetwirtschaft für eine Sicherung der Privatsphäre der Nutzer im Netz nicht ausreichten, schreibt das WSJ. Über ein neues “Datenschutzbüro” im Weißen Haus sollten daher jetzt Schritte eingeleitet werden, um das Vertrauen der Bürger in Online-Anwendungen zu erhöhen.

Quelle: Heise

Hoffen wir das Beste! Dass einer der Verantwortlichen ausgerechnet Schroeder heisst (Christopher Schroeder, Leiter des Office of Legal Policy im US-Justizministerium) , werte ich ganz persönlich als gutes Zeichen

Update: Hier ist der Link zum Artikel im Wall Street Journal

Noch ein Update: Fran Maier prognostiziert im TRUSTe-Blog: “Ultimately, I think an effective combination of bottom-up (self-regulatory) and top-down (federal regulation) efforts will carry the day.”

An einigen Stellen wurde gegenüber den Ausschussbeschlüssen zurückgerudert – das gehört zum politischen Geschäft. In die nächste Runde hat es u.a. folgende Forderung geschafft:

[BDSG] § 4f wird folgender Absatz angefügt:
“(6) Soweit eine Interessenvertretung keine andere Person betraut, nimmt der Beauftragte für den Datenschutz nach Absatz 1 die datenschutzrechtliche Kontrolle der Interessenvertretung wahr. Dabei unterliegt der Beauftragte für den Datenschutz der Geheimhaltung.”‘

Die guten Nachrichten: Der Bundesrat will die bisher ungeklärte datenschutzrechtliche Kontrolle der Interessenvertretungen regeln. Diese Kontrolle soll “eigentlich” der Beauftragte für den Datenschutz  übernehmen. Darüber habe ich mich zurecht gefreut.

Die weniger gute Nachricht steht am Anfang der Forderung: “Soweit eine Interessenvertretung keine andere Person betraut, …”  Als kritischer Datenschutzbeauftragter frage ich mich: Was soll das für eine Person ein? Die Begründung führt dazu u.a. aus

[...] In Ergänzung des Aufgabenbereichs des Beauftragten für den Datenschutz wird dazu eine Auffangzuständigkeit für die Überwachung des Datenschutzes bei der Interessenvertretung begründet, soweit diese ihr Wahlrecht zur Übertragung der Datenschutzkontrolle an den betrieblichen oder behördlichen Datenschutzbeauftragten, einen eigenen Beauftragten oder einen externen Dritten nicht ausübt. Ein von der Interessenvertretung benannter Datenschutzbeauftragter unterliegt allerdings nicht den Statusvorschriften des § 4f BDSG (z. B. Kündigungsschutz).

Wir wissen also, welchen Vorschriften der “von der Interessenvertretung benannte Datenschutzbeauftragte” nicht unterliegt. Im § 4f BDSG geht es aber nicht nur um den Kündigungsschutz des Beauftragten, sondern auch um so wesentliche Dinge wie die geforderte Zuverlässigkeit und Fachkunde. Die Anforderungen “irgendwie” erfüllen müssen – den Statusvorschriften nicht unterliegen – wie soll das funktionieren? Nach der wenig hilfreichen “kleinen Fachkunde” (“Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.”) droht aus meiner Sicht jetzt die Mini-Fachkunde. Das Nur-Betriebsrats-Datenschützerlein. Ein Alibi-Posten. Lass Dich darauf nicht ein, Bundestag!
Eine Einschränkung lasse ich gelten: Wenn die Interessenvertretung selbst “groß genug” für einen eigenen Datenschutzbeauftragten ist, kann sie sich einen leisten. Dann aber bitte einen richtigen…

Jetzt liegt der Ball auf dem Feld des Bundestages. Die nächsten Plenarsitzungen finden vom 24.-26.11. statt.

Ich begrüße den Vorstoß in Richtung “privacy by default” (wenn mir auch ein deutsches Schlagwort besser gefallen würde), den Ansatz eines vererbbaren Löschdatums sowie die beabsichtigte Klarstellung zum Thema “elektronische Einwilligungen”. Im Kernpunkt allerdings schließe ich mich der Kritik von RA Thomas Stadler an, was das unpraktikable Widerspruchsrecht im Einzelfall angeht.

So oder so, ein Gesetzentwurf mehr schadet in keinem Fall und legt die Latte für die spätestens zum 7.12. erwarteten Papiere von Wirtschaft & BMI höher.

Wer sicher gehen will, vergleiche die Originaldokumente.

Detailinformationen zu strittigen (und ebenso interessant: unstrittigen) Punkten folgen an dieser Stelle – spätestens nach dem Beschluss des Bundesrates am 5.11.

Neben Korrekturen finden sich auch neue Gedanken (a.a.O., S. 8):

Der Bundesrat fordert die Bundesregierung auf, die Fragen des Konzerndatenschutzes bei den auf EU-Ebene anstehenden Verhandlungen zu einer Reform der EG-Datenschutzrichtlinie einzubringen und in absehbarer Zeit einen Gesetzentwurf zu Regelungen betreffend Datenübermittlungen in-nerhalb von Konzernen vorzulegen.

Die Schaffung eines Konzernprivilegs ist einerseits wünschenswert und spart Datenschutzbürokratie, andererseits kann eine solche Regelung nur europaeinheitlich eingeführt werden. Damit ständen den EU-Muttergesellschaften  die Türen zu den Daten ihrer Mitarbeiter in deutschen Tochterunternehmen ganz weit offen. Bei diesem Gedanken fröstelt es den einen oder anderen praxiserprobten Datenschutzbeauftragten vermutlich, denn das vielbeschworene einheitliche Datenschutzniveau innerhalb der EU zeigt bei näherer Betrachtung bemerkenswerte Höhen und Abgründe.

Für das Kontrolldefizit im Bereich der Interessenvertretungen machen die Ausschüsse folgenden Vorschlag (a.a.O., S. 15):

§ 4f (Anm.: BDSG) wird folgender Absatz angefügt:
“(6) Soweit eine Interessenvertretung keine andere Person betraut, nimmt der Beauftragte für den Datenschutz nach Absatz 1 die datenschutzrechtliche Kontrolle der Interessenvertretung wahr. Dabei unterliegt der Beauftragte für den Datenschutz der Geheimhaltung.”‘

Eine solche Regelung halte ich für vernünftig und überfällig.

Zu guter Letzt will der Bundesrat ins BDSG schreiben lassen, die Datenschutzaufsichtsbehörden “nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr” (a.a.O. S. 45) . Damit würde die Entscheidung des EuGH ausdrücklich auch im Bundesdatenschutzgesetz umgesetzt.

Eine Stellungnahme kam noch nicht zustande, stattdessen hat der Bundesrat einen Antrag auf Fristverlängerung gestellt (Download: zu535/10 – pdf).

Die dortige Begründung:

Mit dem Gesetzentwurf soll erstmals seit jahrzehntelanger Diskussion eine umfassende gesetzliche Regelung für den Arbeitnehmerdatenschutz getroffen werden. Bisher existieren nur wenige spezifische gesetzliche Regelungen. Der rechtliche Rahmen ergibt sich aus verschiedenen allgemeinen Gesetzen und einer Vielzahl von gerichtlichen Einzelentscheidungen.
Daraus ergibt sich eine hohe Komplexität der Materie und ein erheblicher Beratungsbedarf, der eine Verlängerung der Frist zur Stellungnahme erforderlich macht.

Damit verzögert sich der parlamentarische Prozess nach Artikel 76 des Grundgesetzes um weitere drei Wochen:

Der Gesetzesentwurf wurde dem Bundesrat am 3. September zugeleitet.  Eine Stellungnahme ist nun nach spätestens 9 Wochen, also am 5. November abzugeben.

Update am 15.10.: Der federführende Bundesratsausschuss für Innere Angelegenheiten berät in seiner Sitzung am 21.10. über den Entwurf, siehe Tagesordnung (pdf).
Bereits am 19.10. hat der Ausschuss für Arbeit und Soziales das Thema auf der Agenda (pdf); am 20.10. der Gesundheitsausschuss (pdf). Am 21.10. tagt letztlich auch der Wirtschaftsausschuss dazu (pdf).

26.11.2009 – 17/69 – Gesetzentwurf der Fraktion der SPD

Text des Gesetzentwurfes: pdf
Pressemitteilung Deutscher Bundestag (Original hier):

Die SPD-Fraktion fordert strengere Regelungen zum Schutz der Arbeitnehmer vor dem Missbrauch persönlicher Daten und hält dazu ein eigenständiges Gesetz für notwendig. ”Die Defizite der gesetzlichen Regelungen des Bundesdatenschutzgesetzes begründen die Notwendigkeit eines eigenständigen Beschäftigtendatenschutzgesetzes“, heißt es in einem Gesetzentwurf der SPD-Fraktion (17/69). Anlass des Vorstoßes sind die Datenschutzskandale in der Wirtschaft in den vergangenen Monaten. Im Umgang mit Arbeitnehmerdaten werde immer weniger Rücksicht auf Persönlichkeitsrechte der Beschäftigten genommen, heißt es in der Begründung. Beispiele dafür seien die ”erzwungene“ freiwillige Einwilligungen von Arbeitnehmern in umfassende Erhebungen und Verarbeitung von Daten durch Arbeitgeber, insbesondere im Bereich der Gesundheitsinformation, die unklare Situation bezüglich des Einsatzes von Videoanlagen außerhalb öffentlicher Räume oder auch das Fortbestehen der Möglichkeit heimlicher Überwachungen durch den Arbeitgeber, schreibt die Fraktion.

Daher ”sollen Unternehmen stärker als bisher verpflichtet werden, die Persönlichkeitsrechte des Einzelnen zu achten“, heißt es in dem Entwurf. Die SPD-Fraktion hält eine ”Ausweitung der Mitbestimmungsrechte bei Erhebung, Speicherung und Verarbeitung von Daten“ für erforderlich, ebenso die Stärkung der Individualrechte der Arbeitnehmer. Ziel sei es, ”mehr Rechtsklarheit und Rechtssicherheit“ zu schaffen. Dazu müsse klar geregelt werden, ”welche Daten eines Bewerbers im Einstellungsverfahren erhoben und verwendet werden dürfen“, heißt es weiter. Durch das Gesetz würden erstmals die Grenzen des Fragerechts des Arbeitgebers klar definiert – etwa bei Fragen nach der Religion, der sexuellen Identität, der politischen Einstellung oder gewerkschaftlicher Betätigung. ”Bei Dritten darf der Arbeitgeber Auskünfte über einen Bewerber nur mit dessen Einwilligung einholen“, schreibt die Fraktion. Gesundheitliche Untersuchungen sollten im Einstellungsverfahren nur noch unter klar benannten Voraussetzungen möglich sein.

Eine Videoüberwachung am Arbeitsplatz soll ebenso wie der Einsatz von Ortungssystemen und die Verwendung biometrischer Daten ”an konkrete Voraussetzungen“ geknüpft werden, heißt es in dem Entwurf. Eine gezielte Videoüberwachung soll grundsätzlich verboten werden und nur zulässig sein, wenn Anhaltspunkte den Verdacht einer Straftat im Beschäftigungsverhältnis begründen. Die Erstellung von Persönlichkeitsprofilen will die SPD-Fraktion verbieten. Nutzen Beschäftigte Telefon, E-Mail und Internet am Arbeitsplatz, ”darf der Inhalt der Nutzung nicht erhoben werden“.

Beschäftigte, deren Daten unzulässig oder unrichtig erhoben oder verwendet wurden, sollen Anspruch auf Korrektur und Schadenersatz haben. In Betrieben mit fünf oder mehr Mitarbeitern soll nach dem Willen der SPD-Fraktion ein Beschäftigtendatenschutzbeauftragter bestellt werden.

Die Reaktionen auf den Entwurf werden wohl ähnlich ausfallen wie beim Scholz-Diskussionspapier Anfang September. Auf jeden Fall ein neuer Impuls, um das Thema Arbeitnehmerdatenschutz (oder auch Beschäftigtendatenschutz) in der parlamentarischen Diskussion zu halten.

Der Berufsverband der Datenschutzbeauftragten (BvD) e.V. erhofft sich deutliche Signale vom angekündigten Vier-Augen-Gespräch zwischen dem neuen Bundesinnenminister Thomas de Maiziére und dem Bundesdatenschutzbeauftragten Peter Schaar. Die Aussagen im Koalitionsvertrag und erste Äußerungen de Maiziéres zum Datenschutz klingen vielversprechend, müssen aber zügig in Recht und Praxis umgesetzt werden.

Der BvD-Vorstand teilt die Ansicht des Bundesdatenschutzbeauftragten, dass die Auslegungsspielräume des veralteten Datenschutzrechts und die ungenügenden Vorgaben an den Beruf des Datenschutzbeauftragten die ordnungsgemäße Überwachung von Datenverarbeitungsvorgängen vor praktische Schwierigkeiten stellt.

Der BvD schließt sich der Erwartungshaltung der Aufsichtsbehörden an die neue Bundesregierung an, dass vor allem für die Verarbeitung von Daten im Beschäftigungsverhältnis umgehend neue Vorgaben gemacht werden, um den Ausgleich zwischen Unternehmen und Beschäftigten rechtssicher herzustellen. „Bluttests, GPS-Ortung, RFID-Chips oder mobile Endgeräte sind ungeklärte Datenschutzthemen im Beschäftigtenverhältnis“, so Thomas Spaeing, Vorsitzender des Berufsverbandes.

Marco Biewald, stellvertretender Vorsitzender, betont: „Nach Datenschutzskandalen steigt die Sensibilität für den richtigen Umgang mit Daten in Unternehmen zunehmend, derzeit müssen betriebliche Datenschutzbeauftragte aber die Lücken des Gesetzes durch eigene Standpunkte füllen.“ Konkrete Fragen („Darf ich oder darf ich nicht“) müssen mangels konkreter gesetzlicher Vorgaben weiter mit Interessensabwägungen und Angemessenheitsprüfungen entschieden werden. „Die Bewertung führt bei jedem Unternehmen zu einem anderen Ergebnis.“, so Biewald dazu. „Hier erwarten unsere Mitglieder klare Regelungen.“

Ob Datenschutz im Unternehmen als Last empfunden wird oder vorteilhaft umgesetzt werden kann, hängt in hohem Maße von der Kompetenz des Datenschutzbeauftragten ab. Der BvD teilt die Ansicht Peter Schaars, der fehlende Definitionen zum Beruf des Datenschutzbeauftragten festgestellt und ein entsprechendes Berufsbild gefordert hatte, das gesetzlich verankert werden könnte.

Der Berufsverband hat längst vorgelegt: Sein im September verabschiedetes berufliches Leitbild definiert bundesweit erste Maßstäbe und wurde auch vom Bundesdatenschutzbeauftragten begrüßt. „Wir warnen deutlich davor, sich nach einem Schnellkurs bei ominösen Seminaranbietern zum Datenschutzbeauftragten bestellen zu lassen“, betont Thomas Spaeing, Vorsitzender des Berufsverbandes. „Es besteht Konsens zwischen Berufsverband, Aufsichtsbehörden und Politik, dass Datenschutzbeauftragte bestimmte Qualifikationen besitzen müssen. Welche das sind, legen diese Stellen fest, nicht ein beliebiger Seminaranbieter!“

Der Arbeitnehmerdatenschutz muss geregelt werden. Dringend. Nur wie und wo?

Zunächst eine Zusammenfassung des bisherigen Geschehens:

1. In der vergangenen Legislaturperiode konzentrierten sich die Aktivitäten auf das Bundesministerium für Arbeit und Soziales (BMAS). Von dort legte Ex-Minister Olaf Scholz kurz vor Toresschluss der Großen Koalition noch einen – nach meiner Meinung halbgaren – Entwurf für ein Beschäftigtendatenschutzgesetz vor.

2. Im Koalitionsvertrag einigten sich die Regierungsparteien im Oktober darauf, den Arbeitnehmerdatenschutz in einem eigenen Kapitel des Bundesdatenschutzgesetzes (BDSG) zu verankern. Nebenbei rutscht damit die Verantwortung ins Bundesministerium des Innern (BMI).

3. Der neue Bundesinnenminister wird am 02.11. u.a. in der BILD-Zeitung mit der Aussage zitiert, umgehend den Entwurf für ein neues Arbeitnehmerdatenschutzgesetz vorzulegen. Auf Anfrage berichtigt die Pressestelle am 04.11., der Minister sei falsch zitiert worden und plane weiter einen Abschnitt zum  Arbeitnehmerdatenschutz im BDSG.

4. In der Aussprache zur Regierungserklärung der Kanzlerin gelingt dem Innenminister am 11.11. die Quadratur des Kreises:  “Ich werde im nächsten Jahr einen Gesetzentwurf im Rahmen des Bundesdatenschutzgesetzes für ein Arbeitnehmerdatenschutzgesetz vorlegen.”

Jetzt hat sich auch Justizministerin Sabine Leutheusser-Schnarrenberger vom Verwirrspiel anstecken lassen.

Im gestrigen Interview für Deutschlandradio hatte sie sich wörtlich für ein Arbeitnehmerdatenschutzgesetz ausgesprochen – heute rudert sie in einer Meldung auf ihrer Webseite zurück und formulierte die Überschrift unverbindlicher “FDP will Arbeitnehmerdatenschutz stärken”. Im Text der Meldung findet sich dann allerdings ein neues Beispiel kreativer Ministerialgrammatik:

Bundesjustizministerin Sabine Leutheusser-Schnarrenberger will den Arbeitnehmerdatenschutzgesetz stärken und auch für Fragen bei Bewerbungsgesprächen eine verbindliche Rechtsgrundlage schaffen.

Deutschlehrer stöhnen auf – Ich bleibe standhaft: Hauptsache, es kommt bald was! Und die Justizministerin ist so oder so nicht federführend. Schade eigentlich

Auch die Opposition hält das Thema am Köcheln: Eine erste Kleine Anfrage der GRÜNEN greift neben dem Datenmissbrauch bei der BA auch den Arbeitnehmerdatenschutz auf.

Übrigens: Der neue Bundesarbeitsminister hat sich zum Thema noch nicht zu Wort gemeldet. Bleibt zu hoffen, dass seine kompetenten, weil langjährig mit dem Thema befassten Mitarbeiter in die Erarbeitung der neuen Vorschriften mit einbezogen werden.

13.11.2009 – 17/18 – Kleine Anfrage der Fraktion “Bündnis 90/Die Grünen”

Text der Kleinen Anfrage: pdf
Pressemitteilung Deutscher Bundestag (Original hier):

Nach ”Datenmissbrauch bei der Bundesagentur für Arbeit“ (BA) erkundigt sich die Fraktion Bündnis 90/Die Grünen in einer Kleinen Anfrage (17/18). Darin verweisen die Abgeordneten auf Presseberichte und Angaben des Bundesbeauftragten für Datenschutz, wonach es bei der BA sowohl bei der Jobbörse als auch bei dem sogenannten Vier-Phasen-Modell zur Erhebung der Daten von Arbeitslosen und Hilfebedürftigen erhebliche Datenschutzmängel gebe. So seien die Bewerbungsunterlagen von rund 3,8 Millionen Arbeitssuchenden, die sich über die Jobbörse um einen Arbeitsplatz bemühen, nicht hinreichend für Missbrauch geschützt. Wissen wollen die Abgeordneten unter anderem, wie viele Arbeitgeber sich im Schnitt wöchentlich bei der Jobbörse registrieren, um ein Stellenangebot einzustellen und Zugriff auf die Bewerberdaten zu erlangen. Ferner fragen sie, welche Angaben die BA von Stellenanbietern erhebt, bevor ihnen der Zugang zu nicht anonymisierten Bewerberdaten gestattet wird, und welche Maßnahmen ergriffen werden sollen, um die Bewerberdaten bei der Jobbörse künftig besser vor Missbrauch zu schützen.

Neben den Fragen zur BA bohren die Grünen auch zu den Themen “Kompetenzen des BfDI” und “Arbeitnehmerdatenschutz”.

Jetzt liegt der Text der heutigen Erklärung vor. Hier die (leider kurzen) Auszüge zum Thema Datenschutz:

Eine große Herausforderung für unser Zusammenleben sind die rasanten Entwicklungen in der Informations- und Kommunikationstechnologie. Das Internet kann zu mehr Teilhabe und sogar zu neuen Formen gemeinschaftlichen Handelns führen. Das fördert die Bundesregierung selbst nach Kräften. Auch mit der Gewährleistung sicherer Abläufe und der Erhaltung der Funktionsfähigkeit unserer IT-Infrastruktur müssen wir uns weiter befassen. Es geht zunehmend nicht mehr um die alte Debatte, ob der Staat hier in Freiheitsrechte zu stark eingreift. Auf private Daten wird heute nicht vor allem vom demokratischen Staat zugegriffen,  sondern eher von anderen Privaten, auch wegen manchmal eigener Leichtfertigkeit und auch wegen der Unauslöschlichkeit der Spuren der Internetnutzung. Da brauchen wir neue Antworten und nicht alte Frontstellungen.

Schade, wieder kein selbstkritischer Innenminister, was die Datenverarbeitung durch öffentliche Stellen angeht. Dazu hier mehr. In der Beurteilung der Hauptgefahr für private Daten stimmt er interessanterweise mit Bruce Schneier überein: Private sammeln! Okay, Schneier sagt weiter: … und der Staat bedient sich bei ihnen.

Immer wichtiger wird deshalb die Informationssicherheit. Die Gewährleistung sicherer Kommunikation ist für mich eine neue staatliche Aufgabe. Daher wird der Datenschutz ‑ ich glaube, wir sollten lieber von Datensicherheit sprechen ‑ ein Schwerpunkt der Arbeit in dieser Legislaturperiode sein.

Arrgh. Bitte,  liebes Referat V II 4 im BMI, erklärt Eurem Minister schnellstens den Unterschied zwischen Datenschutz und Datensicherheit.

Gesetzlicher Regelungsbedarf besteht zum Beispiel beim Arbeitnehmerdatenschutz. Ich werde im nächsten Jahr einen Gesetzentwurf im Rahmen des Bundesdatenschutzgesetzes für ein Arbeitnehmerdatenschutzgesetz vorlegen.

Die Auflösung der Frage ist also die Quadratur des Kreises: Es wird ein Arbeitnehmerdatenschutzgesetz im Bundesdatenschutzgesetz geben.

Juristen stöhnen bei dieser Formulierung auf – egal. Hauptsache, es kommt bald was!

Wir wollen die Bürgerinnen und Bürger sowohl im nicht-öffentlichen als auch im öffentlichen Bereich wirksam vor dem Missbrauch ihrer persönlichen Daten schützen.
Hierzu wollen wir ein unabhängiges Datenschutzzentrum schaffen. Dieses soll als niedrigschwellige und bürgernahe Kontroll- und Beratungsinstanz dienen und die zentrale Anlaufstelle für Bürgerinnen und Bürger in allen Fragen des Datenschutzes sein. Vorbehaltlich des Ergebnisses der Beschwerde wegen einer möglichen fehlerhaften Umsetzung des Artikels 28 der Datenschutzrichtlinie sollen in diesem Zentrum der Datenschutz für den öffentlichen und den nicht-öffentlichen Bereich zusammengefasst werden. Die Kontrolle des nicht-öffentlichen Datenschutzes wird dann umgehend aus dem zuständigen Ministerium ausgegliedert.

Damit hat binnen Monatsfrist das dritte Bundesland Veränderungen bei Datenschutzaufsichtsbehörden beschlossen bzw.  angekündigt.

Gestern wurde aus dem Brandenburger Koalitionsvertrag bekannt:

Die Koalition wird den institutionellen Datenschutz stärken. Dazu soll die Aufsicht über den der öffentlichen und nicht-öffentlichen Bereich(e) in einer Behörde zusammengefasst und unabhängig wahrgenommen werden.

Ende Oktober hatte die CDU in Baden-Württemberg ihren Widerstand gegen die Zusammenlegung der Datenschutzaufsichtsbehörden aufgegeben.

Bei allen drei Bundesländern bleibt zu hoffen, dass die Umstrukturierung nicht mit einer Einsparung von Personal einhergeht, sondern die Aufsichtsbehörden im Gegenteil besser ausgestattet werden.

Heute schlugen bei mir zwei Meldungen so zeitnah beeinander auf, dass ich automatisch auf dumme Gedanken  – äh – ein neues Geschäftsmodell kommen musste:

1. Die Bundesnetzagentur plant laut Wikileaks einen gemeinsamen Bestandsdatenpool aller TK-Anbieter. Das soll diskutiert werden, …

… um entsprechende Abfragen gemaess Paragraph 112 TKG zu vereinfachen. In einem solchen Datenpool waeren also die Daten aller Telefon-, Handy-, DSL- und E-Mail-Kunden in Deutschland versammelt. Vor dem Hintergrund des Datenschutzes erscheint eine solche Datensammlung aeusserst bedenklich.

Sozusagen eine Bundestelekommunikationskundendatenbank (Dank an @olba]

2. Nicht nur Daimler, sondern auch der “NDR lässt bluten” (netzpolitik.org) :

Datenschützer und Arbeitsrechtler kritisieren die Maßnahme bereits. Es handele sich um einen Verstoß gegen das Datenschutzrecht. Dort sei geregelt, dass Arbeitgeber nur die “erforderlichen” Daten erheben dürften. Auf die Frage, welche “erforderlichen” Informationen aus den Bluttests gewonnen werden können, heißt es beim NDR, die Blutwerte lieferten Anhaltspunkte, ob der jeweilige Beschäftigte “die vorgesehene Wochenarbeitszeit wird bewältigen können”.

Vermutlich nutzen auch weitere Unternehmen diese Informationsquelle.  Mal legal, oft illegal.

Wer bei Bluttests “nur an die üblichen Krankheiten” denkt und sich deshalb noch nicht genug gruselt, lese über den parawissenschaftlichen Aspekt zum Thema “Japanische Blutgruppendeutung” bei Wikipedia:

Die fehlende wissenschaftliche Untermauerung war kein Hindernis für eine Entwicklung eines blühenden Marktes von Partnervermittlungen, die nach Blutgruppe vermitteln, und Personalberatern, die Unternehmern in der Aufgabe beistehen, die richtige Mischung von Blutgruppen in ihrem Personal zu finden.

Was folgt daraus, wenn wir 1 und 2 zusammenzählen? Der Bedarf an Blutproben ist riesig (Wachstumsmarkt!), die Blutmenge bei Stellenbewerbern begrenzt. Von Kosten, infizierten Kanülen und blauen Flecken wollen wir gar nicht erst reden.

Der Ausweg ist eine zentrale Blutprobenbank! Eine Bundesblutprobenbank!!

Ich muss nur einmal meine Blutprobe abgeben – und jeder potentielle Arbeitgeber kann sich die gewünschte Auskunft einholen.  Die Abwicklung der Anfragen könnte unkompliziert und unbürokratisch über die Arbeitsagentur erfolgen. Dort kann sich jeder als interessierter Arbeitgeber registrieren, und dann…

Ohne diese Datenschutzbedenkenträger und Oberverdachtschöpfer könnte alles so einfach sein.

Gestern hatte ich nun ein Aha-Erlebnis beim Durchstöbern der aktuellen RDV 2009 Heft 5 (Recht der Datenverarbeitung, DATAKONTEXT): Auf Seite 205 beginnt ein Artikel “Datensündern auf der Spur – Bußgeldverfahren ungeliebtes Instrument der Datenschutzaufsichtsbehörden?” (Anmerkungen zu § 43 BDSG). Autorin ist Regierungsrätin Corinna Holländer, die als Justizreferentin beim Berliner Beauftragten für Datenschutz und Informationsfreiheit u.a. zuständig für die Bearbeitung von Bußgeldverfahren nach dem BDSG ist.

Aha

Der Artikel ist volle sieben Seiten lang und erscheint abschreckend juristisch-nüchtern. Der zugeneigte Leser wird aber nicht nur mit einer klaren Darstellung, sondern auch mit amüsanten Sprachschöpfungen bei Laune gehalten.

Als Gründe für die bisher geringe Zahl der Bußgeldbescheide der Datenschutzaufsichtsbehörden (Beispiel 2005/2006: Im Durchschnitt 2,75 pro Jahr und Bundesland) nennt die Autorin u.a. die personelle Unterbesetzung,  eine “Politik der Reserviertheit”, mangelnde Eingriffsbefugnisse und das politische Umfeld nach dem 11.09.2001.

Der “sanktionsrechtliche Aufrüstungseifer” des letzten Deutschen Bundestages hat dem BDSG durch die drei Novellen in 2009 insgesamt zwölf neue Bußgeldtatbestände beschert (“Trio mit 12 Fäusten”). Die einzelnen Neuerungen werden fachkundig beschrieben, weiter bestehende Lücken aufgezeigt.

Im Ausblick erwartet die Autorin für die zukünftige Praxis der Aufsichtsbehörden ein Nebeneinander von Zwangsgeldern (“zur Durchsetzung von einmal erforderlichen Handlungen”) und Bußgeldverfahren, letzere v.a. in den Fällen, “wo eine Kooperation nicht erkennbar oder die Normverdeutlichung unerlässlich ist”. Sie empfiehlt den Aufsichtsbehörden die Bildung eigener Dezernate zur Verfolgung datenschutzrechtlicher Ordnungswidrigkeiten, um die Verfahren professioneller zu gestalten.

Mein Eindruck: Hier schreibt jemand mit praktischen Erfahrungen. Ich kenne Corinna Holländer noch aus ihrer Zeit als Referentin bei Gisela Piltz MdB. Offenbar hat sie sich ihr Engagement nach dem Wechsel in die Behörde erhalten. Deshalb: Siehe Überschrift!

Einige Fixpunkte für Lesefaule:

• Angebot zum Download? Strafbar!
• Download? Strafbar, aber schwer nachweisbar
• Betreiben einer Plattform? Eigentlich legal, aber internationaler Gegenwind
• Praxis: Anschlussinhaber der Rechtsbrecher haftet als Störer, wenn er den Zugang nicht absichert
• Reichweite der Störerhaftung umstritten (…BGH)
• “Gewerbliches Ausmaß” umstritten (…BGH)
• Digitale Privatkopie bleibt erlaubt
• Koalitionsvertrag und EU-Telekom-Paket beachten

Marketing entdeckt Datenschutz

Vor einer Woche überraschten mich die Ergebnisse einer lesenswerten Studie von Client Vela und TU München. Siehe dazu hier im Blog:

Auf die Frage „Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?“ erhielt der Punkt „Datenschutz“ insgesamt die drittbeste Bewertung, wurde aber von 43%  als „sehr starker“ Faktor genannt – Spitzenwert!

Datenschutz rangierte damit hinter dem Preis und der Mitarbeiterkompetenz, aber vor Serviceleistungen, den Kernleistungen des Produktes und sieben weiteren Faktoren.

Langfristige Kundenbindung funktioniert nicht ohne den respektvollen Umgang mit der Person des Vertragspartners. Im Ladengeschäft wird die Person des Kunden auch, im Online-Geschäft nur durch ihre Daten verkörpert. Diese Botschaft ist in der Bevölkerung offensichtlich schneller angekommen als in vielen Handelsunternehmen. Kluge Unternehmer haben die Chance, dass steigende Interesse am Datenschutz zu nutzen und dabei schneller als die Konkurrenz zu sein.

Marketing als größte Gefahr für den Datenschutz

Auf der anderen Seite der Medaille verblüffte mich IT-Guru Bruce Schneier  in einem Interview für eine Kolumne auf cnet.com. Auf die Frage, woher die größte Gefahr für unsere Privatsphäre droht, antwortete er nicht etwa mit “Sicherheitsbehörden” oder “Unterwelt”, sondern:

Marketing. The legal collection, storage, resale, and reuse of personal information. Information brokers are doing more to hurt consumer privacy than anything criminals or the government can do. And, even worse, the government can buy information from them, and criminals can break into their databases.

Marketingleute horten die Informationen, die dann von Regierungen gekauft oder von Kriminellen gestohlen werden können. Passenderweise verlor kurz danach der Britische Guardian durch einen Einbruch etwa eine halbe Million Datensätze von Online-Bewerbern inklusive Lebenslauf.

“Ich brauche Dich, aber ich kann gefährlich für Dich werden!”, das klingt nach einer Schnulze mit Krimi-Potential. Hat die Beziehung eine Zukunft?

Wie können Marketing und Datenschutz miteinander leben?

Es gab in den vergangenen Tagen noch mehr Neuigkeiten u nd bekanntlich sind ja aller guten Dinge drei. Aber wer hätte das gedacht: Ausgerechnet im aktuellen Koalitionsvertrag finden sich Ansatzpunkte für ein Happy End zwischen Marketing und Datenschutz. Das Zauberwort heißt “Datensparsamkeit” und wird für eGovernment-Projekte ebenso beschworen wie für den privaten Bereich. Daneben halte ich die Transparenz durch klare, faire Einwilligungen für den richtigen Weg und bin damit auf einer Spur mit der Bundesregierung:

Die Einwilligung ist eine wesentliche Säule des informationellen Selbstbestimmungsrechts. Ziel der Reform muss daher auch sein, verbesserte Rahmenbedingungen für informierte und freie Einwilligungen zu schaffen. Dazu sollen Informationspflichten erweitert und der Freiwilligkeit der Einwilligung größere Bedeutung beigemessen werden.

Natürlich besteht die Gefahr der Gewöhnung: Allzuleicht unterschreiben wir im Angesicht des greifbaren Sonderangebotes alles Mögliche, auch weitreichende Einwilligungen (Glauben Sie nicht? Dann werfen Sie mal einen genauen Blick auf die Einwilligung bei der ebay-Anmeldung, die Sie vermutlich so wie ich nur flüchtig überflogen haben). Dennoch gibt es aus meiner Sicht keine Alternative zu einer Einwilligungskultur. Wenn beide Seiten, Kunden und Unternehmer, dazulernen und darauf eingehen, kann ein fairer Interessensaugleich gelingen.